News Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs

MichaG

Redakteur
Teammitglied
Registriert
Juli 2010
Beiträge
12.842
Der Cybercrime-Journalist Brian Krebs hat auf die jüngsten Berichte um die geleakte Datensammlung „Collection #1“ reagiert. Nach seiner Recherche wird diese als nur eine von diversen und teils noch größeren Sammlungen in Untergrund-Foren zum Kauf angeboten. Collection #1 sei zudem mindestens zwei bis drei Jahre alt.

Zur News: Gestohlene Account-Daten: Collection #1 ist nur die Spitze des Eisbergs
 
  • Gefällt mir
Reaktionen: Sennox
kann man das angebot von Have I Been Pwned auch nach Wildcard E-mail Adressen durchsuchen?

zB alle von @computerbase.de ? oder muss man da jede einzeln durchehmen
 
Mich würde mal interessieren was genau da so alles bei ist. Nie im Leben sind das nur Logins bei den Größen.
 
  • Gefällt mir
Reaktionen: Transistor 22, Abalas und V3nDr4r
eines der größten probleme ist das viele Seiten die Benutzerpasswörter unverschlüsselt in der Datanbank abspeichern. Das witzige ist dann, bei solchen Seiten kann man sich sein Passwort als email im Klartext zusenden lassen. tztztz...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Oceanhog, Porky Pig, Yesman9277 und eine weitere Person
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: TheRealSutefan, MR2007 und nighteeeeey
@robertsonson Was waere denn ein anderer Grund, um WIldcards einzusetzen?
 
wern001 schrieb:
eines der größten probleme ist das viele seiten die benutzerpasswörter unverschlüsselt in der datanbank abspeicher.
Welche halbwegs seriöse Seite soll das denn sein?
 
  • Gefällt mir
Reaktionen: Rou, nighteeeeey und Shoryuken94
Ich schätze mal selbst die 4TB könnten auch nur ein Bruchteil sein. Wer weiß was da noch auf uns zukommt.
 
Hatte Sony das nicht erst vor einigen Jahren gemacht ;)?
 
  • Gefällt mir
Reaktionen: Porky Pig und nighteeeeey
Knuddelbearli schrieb:
zB alle von @computerbase.de ? oder muss man da jede einzeln durchehmen
ja ist möglich. musst aber inhaber der domain sein https://haveibeenpwned.com/DomainSearch
Verify by email
Verify by meta tag
Verify by file upload
Verify by domain TXT record


Code:
Verify by domain TXT record
You can create a TXT record on the domain if it's not a subdomain. The record should have the following value:
have-i-been-pwned-verification=5caead8e290087d08XYZXYZXYZXYZ
 
Nicht umsonst wird seit Jahren von Nutzern mehr Eigenverantwortung und ein dynamischeres Sicherheitsverhalten gefordert. Man kann es sich natürlich einfach machen und alle Schuld bei den "Verantwortlichen" suchen. Die Verantwortlichen strikt man sich im Schadensfall dann je nach Fasson zurecht.

Man sollte sich immer vor Augen halten. Wenn ein Haker euch haken will, dann kann er das, höchstwahrscheinlich ohne viel Mühe, wie das jüngste Beispiel mit einem Laie aufgezeigt hat. Trotzdem gibt es mehr als genug Werkzeuge, um euch gegen nahezu alle Gefahren abzusichern, bzw. es dem Täter zumindest zu erschweren. Falls ihr dann immer noch betroffen seit...gegen Murphys Law kann man nicht viel ausrichten.

Man kann seine Email jederzeit auf Korruption prüfen.
Man kann Browser und seinen PC auf automatische Passwortalgorythmen programmieren.
Man kann aufhören daran zu glauben kostenfreie Virenprogramme wären zuverlässig. Gut ja, aber nicht vollumfänglich. Um kostenfreien Gesamtschutz zu erhalten, muss man mehrere Programme parallel laufen lassen. Was eventuell dazu führt, dass sich dann jeder wieder über miese Performance echauffiert.
Masterpassworte. Kein automatisches Login bzw. Speicherung von Login-/Account-/ oder im schlimmsten Fall Kontodaten(kein Scheiß, ich kenne Leute die aus Faulheit alles speichern und sich dann über "Unsicherheit" wundern).
Die Möglichkeiten die ein Router bietet möchte ich gar nicht detaillieren.
Es spricht absolut nichts gegen eine kombinierte Nutzung von Windows Defender mit "insert_any_Virenprogramm_here".

Ich fahre bis jetzt sehr zuverlässig mit einer ständig aktualisierten Fritze, G-Data, WD und im Akutfall Malwarebytes. Außerdem ist es ratsam die komplette Browserhistorie zu löschen (strg+ shift + entf), jedes mal wenn ihr das Netzt verlasst. Kann man natürlich auch automatisch machen. Ich mag es aber lieber zu kontrollieren was passiert ist. Sowas wirkt beruhigend. Das schafft auch größeren "Argumentationsspielraum", wenn man wirklich mal die Schuld auf die "Verantwortlichen" schieben möchte...:)

Und ja, bin auch schon mal Opfer eines Breaches geworden. Üben auf dem Modding Nexus. Glaube es war 2013. Auswirkung = 0, entweder weil ich als Opfer zu unattraktiv bin, oder weil ich schnell genug reagiert und mein Passwort geändert habe.
 
  • Gefällt mir
Reaktionen: Ernie75
@Kobura, stimmt, das war mir entfallen. Vielleicht mal an den Entwickler schreiben, falls es dich interessiert?
 
Spitze des Eisbergs lool, das ganze ist total gehypter bullshit, die meisten Daten sind total veraltet... da wurden einfach irgendwelche alten Datensätze zusammen gefasst.... unglaub wie das hier auf CB und auf anderen Webseiten künstlich aufgeplustert wird!

Meine E-Mail adresse ist nur da drin aufgeführt weil es bei Trillian und Heroes of Newerth ein breach gab und das ganze ist schon über 10 Jahre her.
 
  • Gefällt mir
Reaktionen: konkretor, Schatten123, dister1 und 8 andere
M-X schrieb:
"Have I Been Pwned" wird ein immer interessantes ziel für Hacker, die haben gleich alles aufeinmal.

Aus meinem Verständnis haben die doch nur die Information das es einen leak für diese emailadresse gab. Die sollten doch nicht das PW dazu abspeichern. Außerdem bedienen sie sich doch nur den allgemein verfügbaren leaks. Wozu die auch noch knacken, wenn man einfach so an alles drankommt.
Have I Been Pwned
Der Leak selber scheint aber echt hart zu sein. Das könnten dann ja mehrere Mrd. Emails + PW sein. Also im Schnitt quasi jeder xD.
 
  • Gefällt mir
Reaktionen: Melkor03 und F.b
Bin ich richtig in der Annahme, dass das eigentliche Problem das ist, dass selbst starke Passwörter in diesen Leaks enthalten sind, weil sie unverschlüsselt von Webseiten abgegriffen wurden?

Ich nutze KeePass und für jeden Login ein anderes PW. Meine E-Mail-Adressen sind bislang nicht kompromittiert worden, aber kann man davon ausgehen, dass trotzdem die eigens generierten, starken PWs irgendwo in diesen Paketen enthalten sind?

Da sind doch echt die Website-Betreiber in der Pflicht, die Kunden-PWs zu verschlüsseln. Weil sonst war das ganze Generieren sicherer PWs/Logins umsonst...
 
  • Gefällt mir
Reaktionen: DLX23, Oceanhog und FCK-THIS
CrEaToXx schrieb:
Nicht umsonst wird seit Jahren von Nutzern mehr Eigenverantwortung und ein dynamischeres Sicherheitsverhalten gefordert. Man kann es sich natürlich einfach machen und alle Schuld bei den "Verantwortlichen" suchen. Die Verantwortlichen strikt man sich im Schadensfall dann je nach Fasson zurecht.
Genau wie die Verbraucher immer an allem Schuld sind was in der Wirtschaft so schräg läuft. Sie sind ja soo mächtig. Wer das glaubt, der glaubt auch an den Weihnachtsmann.

Jetzt zu sagen die User sind Schuld stellt das Thema diametral auf den Kopf. Das ein User sein PW regelmäßig ändert schützt ihn vor solchen Hacks erstmal garnicht. kunden oder Userdaten sicher zu speichern ist ja nun eindeutig Sache des Betreiber der die Daten erruiert, wie auch immer und wozu auch immer.
 
  • Gefällt mir
Reaktionen: U-L-T-R-A, ZeusTheGod, BorstiNumberOne und 3 andere
@f1nal

Du liegst mehr als richtig in dieser Annahme. Es gibt genug Studien, die aufzeigen wie groß die Verantwortung entsprechender Plattformen ist, zu lasch mit den Daten ihrer Nutzer umgegangen zu sein.

In der Tat stellt es sich immer wieder raus, dass eigtl. alle Nutzer recht Sicherheitsbewusst handeln, die Provider aber schlampig gehandelt haben. Wobei es immer Ausnahmen der Regel gibt.

Trotzdem ist sowas kein Freibrief für @EvilsTwin...;)

@EvilsTwin

Only a Sith deals in absolutes...natürlich tragen beide die Verantwortung. Es können auch beide die "Schuld" tragen. Wenn du unzufrieden mit der Leistung deines Providers, oder Betreiber der Plattform bist, warum nutzt du sie dann?...also mit diesen erheblichen Sicherheitszweifeln, würde ich mich doch viel lieber im Wald einbuddeln^^
 
  • Gefällt mir
Reaktionen: bierbuddha, hoagster und f1nal
Zurück
Oben